iSecure logo
Blog

Zbycie / pozyskanie przedsiębiorstwa a obowiązki wynikające z RODO

Wstęp

Zbycie przedsiębiorstwa lub jego części jest powszechną formą transakcji handlowej obejmującą przeniesienie własności przedsiębiorstwa wraz z jego aktywami z jednego podmiotu na drugim. Sam proces sprzedaży przedsiębiorstwa jest skomplikowanym, wielowątkowym procesem prawnym. Niemniej, w niniejszym artykule postaramy się odpowiedzieć na pytanie, w jaki sposób podczas transakcji zbycia przedsiębiorstwa zadbać o przetwarzanie danych osobowych zgodnie z wymogami RODO.

Proces due diligence

Zanim jednak dojdzie do ostatecznej sprzedaży / nabycia przedsiębiorstwa bardzo często mamy do czynienia z tzw. „badaniem due diligence”. Przez due diligence należy rozumieć badanie stanu prawnego przedsiębiorstwa przed jego nabyciem. Podmiot nabywający musi być pewny, że przedsiębiorstwo, które zamierza kupić jest w dobrym stanie finansowym, prawnym i organizacyjnym. Badanie due diligence najczęściej przeprowadzone jest przez specjalistyczne podmioty audytowe na zlecenie nabywającego. Inspektor Ochrony Danych (dalej jako „IOD”) spółki, która jest poddawana audytowi, powinien przeanalizować zakres i celowość udostępnianych danych w ramach due diligence. W większości przypadków audytor wymaga przesłania szeregu dokumentów, w tym dokumentów, sprawozdań finansowych, w których widnieją dane osobowe: klientów, pracowników, współpracowników. Zawsze w takich przypadkach pojawia się słuszne pytanie o zakres udostępnianych danych.

W większości przypadków przed przeprowadzeniem badania due diligience dochodzi do zawarcia umowy pomiędzy audytorem, a audytowanym określającej szczegóły prowadzonych czynności audytowych. W pierwszej kolejności IOD powinien zweryfikować taką umowę w zakresie postanowień dotyczących ochrony danych osobowych. Co do zasady, audytorzy występują w roli oddzielnego administratora danych osobowych.  Wynika to z przyjętego stanowiska przez PUODO w odpowiedzi na pytanie zadane przez Polską Izbę Biegłych Rewidentów (por. https://uodo.gov.pl/pl/225/1248). Organ nadzorczy wyraźnie stwierdził, że firmy audytorskie ze względu na cele przetwarzania oraz obowiązuję ich przepisy prawa występują w roli oddzielnego administratora danych. W związku z powyższym przed badaniem, due diligence nie jest konieczne zawarcie umowy powierzenia przetwarzania danych z firmą audytorską. Niemniej, konieczne jest zweryfikowanie postanowień dotyczących ochrony danych osobowych. Przy badaniach due diligence najważniejsze z perspektywy ochrony danych osobowych jest zwrócenie uwagi na realizacje zasady minimalizacji danych osobowych. Zgodnie z zasadą minimalizacji danych należy przetwarzać wyłącznie te dane osobowe, które rzeczywiście są niezbędne do realizacji celów przetwarzania. Przed rozpoczęciem badania due diligence konieczne wspólne ustalenie z podmiotem audytującym jaki zakres danych osobowych jest niezbędny do przeprowadzenia badania stanu prawnego przedsiębiorstwa. W związku z powyższym rekomendowane jest:

  1. Ustalenie przed rozpoczęciem due diligence zakresu danych osobowych, które są rzeczywiście niezbędne do przeprowadzenia badania. Podmiot audytujący, jak i podmiot udostępniający powinni być w stanie uzasadnić celowość przekazywanych danych.
  2. Tam, gdzie jest to możliwe – udostępniać dokumenty w formie zanonimizowanej lub pseuodonimizowanej.

 Nabycie przedsiębiorstwa – co ze zgodami, obowiązkami informacyjnymi, umowami powierzeniami?

Zgodnie z art. 494 par. 1 kodeksu spółek handlowych spółka przejmująca albo spółka nowo zawiązana wstępuje z dniem połączenia we wszystkie prawa i obowiązki spółki przejmowanej albo spółek łączących się przez zawiązanie nowej spółki. Jest to tzw. sukcesja uniwersalna praw i obowiązków. Te zasady należy również dostosować do kwestii praw i obowiązków związanych z przetwarzaniem danych osobowych. W pierwszej kolejności spółka wstępujące w prawa i obowiązki spółki oddającej, powinna zweryfikować czy procesy i cele przetwarzania danych przez spółkę nabywające będą takie same jak poprzednio. Jeżeli tak, to należy przyjąć, że wyrażone wcześniej zgody i przekazane obowiązki informacyjne zachowują ważność. Nie oznacza to jednak, że osoby fizyczne nie powinny otrzymać żadnego komunikatu. W przypadku nabycia przedsiębiorstwa, nowy podmiot prawny powinien powiadomić podmioty danych o nowym administratorze danych i jego danych kontaktowych. Wyrażone zgody na przetwarzanie danych osobowych pozostaną aktualne. Nie zmienia to jednak faktu, że w ramach wyrażonych zgód, należy poinformować o nowym administratorze danych osobowych i jego danych rejestrowych. Dodatkowo, rekomendowane jest poinformowanie o możliwości wycofania zgody w każdym momencie.

Jeżeli w ramach wyrażonej wcześniej zgody, nowa spółka zamierza realizować inne cele przetwarzania, automatycznie należy będzie pozyskać nową, zaktualizowaną o nowe cele zgodę na przetwarzanie danych osobowych. W przypadku, gdy nowy podmiot zdecyduje o tym, że w niektórych procesach przetwarzania dojdzie do zmiany celu przetwarzania – każda taka zmiana, powinna pociągać za sobą konieczność szczegółowego poinformowania podmiotu danych. Komunikacja o zmianach powinna nastąpić w taki sposób, aby ich odbiorcy mogli się z nią łatwo zapoznać np. poprzez wiadomość mailową, tradycyjną korespondencje, komunikat w aplikacji, okienko pop-up itd.

Ponadto, konieczna jest aktualizacja i zweryfikowanie rejestrów czynności przetwarzania o stare i nowe cele przetwarzania. Jednocześnie, nowy podmiot musi poinformować wszystkie podmioty, z którymi wcześniej zostały zawarte umowy powierzenia o wstąpieniu w prawa i obowiązki zbywcy przedsiębiorstwa. Jeżeli charakter powierzenia nie ulegnie zmianie, umowy powierzenia zachowają aktualność, zgodnie z zasadą sukcesji uniwersalnej.

Pobierz wpis w wersji pdf

Podobne wpisy:

Adres IP daną osobową

CZYM JEST MALWARE?

Każdy z nas słyszał o zagrożeniach związanych z wykorzystywaniem sprzętów elektronicznych, a w szczególności o zagrożeniach wynikających z korzystania z Internetu i pobierania niebezpiecznych plików pochodzących z nieznanych źródeł. Powszechnie stosowanym określeniem na niebezpieczne aplikacje stosowane w urządzeniach teleinformatycznych jest “malware”. Dlaczego malware jest tak niebezpieczny? Czy zagrożony jest każdy komputer? Czy malware i wirus […]

Czy powinienem wyznaczyć Inspektora Ochrony Danych?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) określa przypadki, w których wyznaczenie Inspektora Ochrony Danych (IOD) przez Administratora Danych Osobowych (ADO) jest obowiązkowe.
Nawet gdy przepisy nie nakładają konkretnego obowiązku wyznaczenia IOD lub gdy nie jesteśmy do końca pewni czy obowiązek dotyczy naszej organizacji czy też nie, zaleca się rozważenie dobrowolnego wyznaczenia takiej osoby.

Księgi akcyjne

Kopiowanie dokumentów publicznych w świetle nowych regulacji

Na parę dni przed 12-tym lipca, czyli wejściem w życieustawy z dnia 22 listopada 2018 r. o dokumentach publicznych, w Internecie zawrzało od komentarzy określających rozpoczęcie obowiązywania jej zapisów jako początku całkowitego zakazu kserowania wskazanych ustawowo dokumentów, w tym dowodu osobistego, czy dokumentu prawa jazdy. Informacje, które początkowo zostały przez media podane, po zapoznaniu się […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki